Sputnik
-
Posts
7 -
Joined
-
Last visited
Content Type
Profiles
Forums
Calendar
Posts posted by Sputnik
-
-
Может быть, я не совсем понимаю механизм работы туннеля, но неужели, если мы можем достучаться до одного из интерфейсов Cisco (в сети 100) со стороны модема-клиента VPN, то в этом случае нет возможности переслать пакет на другой интерфейс Cisco (в сеть 7)?
-
Если я Вас правильно понял, то на 5104 (VPN-клиент) мы бы указали в качестве шлюза IP-адрес интерфейса роутера Cisco, связанного с модемом из сети 100, и в качестве Destination - 192.168.7.0.
Верно?
-
Да, NAT-T включаем на VPN-клиенте и на VPN-сервере соответственно. На модеме стороны VNP-сервера порты, разумеется, тоже надо пробросить...
IPSec-туннель с модема G3150 на Cisco поднять удалось. Спасибо.
Через этот тоннель удается достучаться до адресов, которые находятся в одной подсети с модемом на стороне Cisco. Но возникла не совсем понятная мне ситуация:
Модем-клиента VPN находится в сети 192.168.10.0/24.
Модем, через который подключается сервер Cisco - в сети 192.168.100.1/24.
Надо достучаться из сети 192.168.10.0/24 до сети 192.168.7.0/24, которая присоединена к Cisco по другому интерфейсу.
В настройках клиента VPN в разделе VPN Settings -> Remote Network -> Remote Subnet IP указано 192.168.100.0. Это правильно?
И дальше уже в сеть 192.168.7.0 переходим через маршрутизацию на Cisco, так?
-
2. Нет. G3150 собственно NAT на борту имеет и прекрасно с ним работает. Вопрос в том, как пропустить через NAT Gre. Обычно (на продвинутых роутерах) Gre включается отдельной опцией. На G3150 такой нет (ммм... вроде бы).
3. Да, именно так. Должен пропускать, если включите опцию NAT Traversal (NAT-T).. Не вижу причин, чтоб не пропускал - с его точки зрения это ж UDP будет..
То есть NAT-T включаем на модеме, который выступает клиентом VPN (в разделе VPN settings -> ISAKMP Phase 1 -> Enable). На удаленном модеме, который со стороны VPN-сервера Cisco, дополнительных настроек по NAT и Virtual Server, получается не требуется?
Или все-таки нужно пробросить порты UDP 500 и 4500, которые использует IPSec?
-
Здравствуйте!
Сам не пробовал - но какие есть мысли по этому поводу:
1. Gre - это протокол. Портами его не пробросишь (не тот уровень);
2. Если Gre не идёт через NAT - то либо надо его разрешить, либо NAT отключить. Применительно к G3150 - патовая ситуация
3. Если оно не идёт так - есть смысл попробовать засунуть его вовнутрь чего-то другого, а5-таки применитьльно к G3150 - может, есть смысл попробовать поднимать IPSec с модема на Cisco, а уже внутри него (без NAT) гонять Gre...
Какие то такие вот соображения, в теории...
Благодарю за оперативный ответ.
2. Если я Вас правильно понял, G3150 не работает с NAT вообще?
Virtual Server разве не частный случай NAT?
3. Вы предлагаете поднимать IPSec с модема на удаленный Cisco через другой модем (через который Cisco и имеет доступ в Интернет)? Будет ли модем на удаленной стороне пропускать IPSec соединение, в отличие от GRE?
-
Добрый день!
Задача с помощью модемов MOXA G3150 стоит следующая: объединить две локальные сети, используя VPN (GRE over IPSec).
На каждой стороне используется роутер Cisco 1921 и модем Moxa G3150. GSM - резервный канал связи. Модемы должны только обеспечивать доступ к Интернету, VPN подключение создается через Cisco.
Как я понимаю, Moxa должна обеспечить корректный проброс портов (TCP 1723 и 47 в случае GRE). В качестве эксперимента попробовал с одного ПК подключиться к VPN-серверу на другом через G3150 со статическим IP.
Использовал Virtual Server для проброса портов на локальный ПК. Тем не менее соединение с VPN-cервером прервалось на проверке имени пользователя и пароля (при использовании другого канала связи без модема MOXA данное подключение устанавливается).
Удаленный рабочий стол (RDP) через модем G3150 работал корректно.
В связи с вышеописанным возникли вопросы:
1) Может ли модем G3150 использоваться для проброса VPN-подключения (протокол GRE)?
2) Возможно, у кого-то был опыт применения G3150 или другого оборудования в похожей задаче. Буду рад увидеть комментарии и предложения.
Спасибо.
два G3150 в качестве резервного канала связи
in Беспроводное оборудование
Posted
Получилось организовать туннель между двумя Cisco, каждая из которых выходит в Интернет через MOXA G3150.
И даже удалось достучаться из 10-ой сети с одного роутера Cisco до интерфейса в седьмой сети другого роутера. Но сама 7-я сеть не доступна из 10-ой. Пока не можем понять почему. Сама сеть 192.168.7.0 присоединена к интерфейсу Cisco.